圖片來源：視覺中國

若說當前網絡安全行業關注度最高的技術應用方向，非AI大模型莫屬，網絡安全行業也在呼喚GPT盡快應用至業務。

(資料圖)

隨著攻防演練走向實戰化，一些新變化在一次次實戰演練中日益凸顯。技術奔走，當前國內網絡安全在攻擊側和需求側都與以往不同，網絡安全模式和產業出現相應新特征，效果導向成為了網絡安全建設的落點。目前，網絡安全行業已經基本告別了安全基礎防護和合規建設，轉而將焦點放在了安全運營與實戰演練。

企業所面對的風險、資產與威脅，是近年來網絡安全運營中變化最明顯的部分。技術帶來的問題還要靠技術解決，安全從業者還是要擁抱新技術、應對新變化，探索大數據、威脅情報、AI大模型等新技術在網絡安全運營中的落地應用。

網絡安全對GPT的天然需求

為什么市場呼喚安全GPT？一個重要原因在于安全運營中發生的變化越來越多，大概可以總結為三個主要方面：風險、資產、威脅。

面對風險，演習中經常能夠發現：越來越多的攻擊開始大量使用0day。對于軟件廠商和用戶來說，0day攻擊是危害最大的一類攻擊，它被攻擊者掌握卻未被軟件廠商修復，在暴露前對于廠商來說是未知的風險。而現實的傳播中存在大量的已知漏洞與未知漏洞，但基于成本、破壞程度等綜合考慮，并不是所有的漏洞都必須立即打補丁，也存在并不用打補丁的情況。

如何對已知、未知漏洞進行修補時效上的區分和判定？是不是所有暴露出來的已知漏洞都必須修復？在一個單位面臨幾千到幾十萬個攻擊中，如何區分真正成功的漏洞攻擊？都需要使用技術協助區分。

資產方面，對攻擊面的關注成為了新趨勢。資產包括了服務、軟件、中間件等，甚至人員、供應鏈等也會成為黑客用來突破的攻擊界面。往往企業或單位的體量越大，容易暴露的攻擊面也就越多。以學校為例，雖然有很多專業人員與工具進行防范檢查，但是每個學生都可被作為攻擊面，更現實的情況還有人員安全意識很難大幅提升，導致黑客發個郵件，發個QQ，可能就會實現欺騙、釣魚。

說到威脅，古老的攻擊方式——釣魚，現在也釣出許多新花樣。釣魚工具日漸高級，二維碼釣魚、加企業微信釣魚、發郵件釣魚、附件釣魚等等層出不窮，現在釣魚已經跟過去魚叉式攻擊結合起來，防范難度被迫需要升級。而除了釣魚攻擊之外，還有很多覆蓋范圍較廣、以金錢為主要目的的勒索軟件，以及針對性極強的威脅——APT攻擊，這對國產軟件發展也造成了一定威脅。

據360發布的《2022年全球高級持續性威脅（APT）研究報告》，2022年針對中國發起的攻擊活動共涉及14個APT組織，政府、教育、信息技術、科研和國防軍工等15個行業領域依然是APT組織攻擊活動主要的目標領域。此外，在2022年APT組織針對我國展開的攻擊活動目標中，包含我國國產化操作系統和自主軟件供應商，顯示出了攻擊活動瞄準我國自主可控領域發展的趨勢。

網絡安全形勢復雜，而龐大的人才缺口又加劇了這一挑戰。多位網絡安全企業的高管層曾不同程度向鈦媒體App表達過網絡安全在人才方面的窘迫現狀?！熬W安人才的缺口至少有幾十萬，這其中尤為缺少能夠解決以上復雜難題的專家?！蔽⒉皆诰€創始人兼CEO薛鋒對鈦媒體App表示。

教育部數據也印證了這一判斷，據2022年9月發布的《網絡安全人才實戰能力白皮書》，到2027年，我國網絡安全人員缺口將達327萬，而高校人才培養規模為3萬/年，許多行業面臨著網絡安全人才缺失的困境。

業界期待GPT的到來能在一定程度上緩解網絡安全領域的人才壓力，此前綠盟科技CTO葉曉虎也對鈦媒體App透露，訓練好的GPT知識儲備量可以達到一年級博士生的水平。雖然GPT技術在安全的應用也是剛剛開始，但從應用表現來看，通過分析IP以及整合相關資料提高安全運營人員和安全分析師的工作效率，這樣的變化已經可以給安全運營帶來一些突破和創新。

據鈦媒體App了解，一些網絡安全客戶也根據使用需求向企業提出了更細節的想法，已經有一些防御者想好了怎么使用安全GPT，他們甚至希望生成PPT，直接貼到自己的報告里面。與客戶業務進行結合，與高校、用戶單位共創，或許是安全GPT目前發展的適宜生態。

鈦媒體App經公開數據整理

據鈦媒體App不完全統計，當前已經有微軟、360集團、綠盟科技、微步在線等多家網絡安全公司已經基于大模型推出了對應的GPT工具，應用方向不乏安全評估、防御、威脅情報分析處置自動化、安全屆智能客服等領域?？梢灶A見的是隨著越來越多的安全的企業加入對GPT的探索，網絡安全運營的自動化、智能化有望進入“自動駕駛”階段。

安全GPT的智能化潛力

自從大模型出現之后，深度學習等等都變成了“傳統AI"。據了解，在傳統AI應用中，已經可以依靠圖數據庫和AI雙重支持，進行關聯分析和拓線。據微步在線數據，在Windows下的PE文件和Linux下的ELF文件中，傳統機器學習查殺可以做到在97%、98%檢出率的情況下，保持十萬分之二，十萬分之五的誤報率。這種機器學習模型也提高了產出率，只需要幾個月時間訓練模型以及后續重復訓練模型可以做到極高產出。

因此，疊加GPT之后，網絡安全智能化又進入了一個新階段?！笆褂冒踩獹PT的其中一個作用就是分析IP，后臺通過AI算法生成對IP的判定，提供豐富信息來幫助安全人員做進一步分析和研判，提升分析效率。”薛鋒對鈦媒體App表示。具體來看，判定內容首先會給出域名類型的結果，再對這個IP威脅類型進行進一步分析，包括：它是不是做過掃描、是否發過邏輯郵件，掃描過端口的時間、攻擊負載等，更進一步還會有相關背景或惡意關聯信息的延伸介紹。

更具體一些的例子比如黑客域名控制，在過去只會得到“這是一個遠程控制域名”的答案，而通過安全GPT會得到更多信息：這是個惡意的域名、注冊人、注冊時間，以及作為命令控制服務器能干什么事情，這個黑客的主要目的等等。

不僅如此，接下來安全GPT還會提供簡單的應對方法：它會進一步告訴使用者如何防范這種蠕蟲；并且還會告訴使用者這個家族可能有超過一千多個木馬病毒變種，然后繼續關聯互聯網上曾經報道過這個木馬病毒文章的分析和摘要。

但是就目前來看，GPT在網安行業內的嘗試不會像其它行業一樣擁有大幅的能效提升，最重要的原因是“檢測”這一核心的技術能力無法通過GPT準確實現。

GPT的最終效果是進行推理總結，從而輔助安全分析師、安全運營人員等提升工作效率，它并不擅長做專業的檢測和判斷。檢測要靠專業引擎、專業工具來實現，對于判斷是不是病毒這件事情還得依靠上文所提及的傳統AI，利用深度學習或者它寫的規則進行判定；而GPT在這個判定過程中容易根據語言導向推理呈現誤報、誤判的結果。“由此，在模型上我們覺得將來更多的是指令的微調。”一位網絡安全領域資深專家判斷。

大模型很重要，但是它無法決定終局的勝負，作為一個專業模型，它對專業知識、專業場景的理解或許更重要。“我比較認同‘數據+情報+AI就等于安全GPT’這個想法”薛鋒說。他表示，數據只是我們的勞動對象，我們還是需要情報和AI，作為加工和分析數據的兩種工具和手段，三者結合有可能做出好的GPT。

不過，不同背景的網絡安全公司對“GPT”的研發和應用也存在路線上的差異，比如有的側重“情報”，有的側重“監測”，有的更偏向于“客服”，有的則跨圈做起了“AIoT”。但差異之外也有共性存在，在提出安全大模型的網絡安全公司中，超半數以上明確提出了大模型的安全運營能力，大家也都不同程度的強調分析、執行等環節的自動化。

而在網絡安全“GPT”的落地應用中，各大網絡安全公司也分處于不同階段，奇安信、安恒信息、綠盟科技等依舊保持著大模型研發的進行時，但相應的，他們也對大模型的實踐能力規劃出更多元的方向，提出更高要求；而已經發布大模型產品的公司也在持續調優，他們讓基礎的大模型產品率先著陸，再根據市場變動書寫自己的進化論。

因此，對于安全GPT的定義可以有多種，但殊途同歸，多元化的競爭環境或將為網絡安全未來積累更肥沃的土壤。（本文首發鈦媒體APP 作者 | 賈雨微 編輯 | 秦聰慧）?

標簽：

　　 原標題：人才缺口超三百萬，大模型驅動網絡安全運營走向“自動駕駛” 環球速看